Spoofing is je voordoen als iemand anders, vaak met kwade bedoelingen. Het bestond al ver voor de digitale wereld. Denk bijvoorbeeld aan het waargebeurde verhaal uit de film Catch Me If You Can, waarin voormalig oplichter Frank Abagnale (gespeeld door Leonardo DiCaprio) zich uitgeeft voor piloot. Abagnale kon zo op meer dan 250 vluchten gratis meevliegen.
Het verhaal van Abagnale speelt zich af in de jaren zestig. Sindsdien is spoofing veel gemakkelijker geworden, met dank aan onder andere de opkomst van e-mail. Bovendien zijn niet alleen grote bedrijven meer het slachtoffer, maar ook individuen. Spoofing is een van de technieken achter de meest voorkomende e-maildreigingen: phishing en business email compromise. In dit artikel vertellen we je hoe je erachter komt of jouw organisatie kwetsbaar is voor spoofing. En welke maatregel je als organisatie eenvoudig en goedkoop kunt inzetten om jezelf en anderen tegen spoofing te beschermen.
Met e-mail is het vrij eenvoudig om te spoofen. Elk e-mailbericht bevat het zogenaamde From-veld, waarin de afzender van het bericht staat vermeld. Dit From-veld is zichtbaar voor de ontvanger, die zo kan zien van wie de e-mail afkomstig zou moeten zijn. Dat zou dus betrouwbaar moeten zijn.
Maar dit From-veld is makkelijk aan te passen en zelfs te vervalsen zonder dat daarop wordt gecontroleerd. Dat kun jij zonder kennis zelf ook proberen: een kwestie van even zoeken op internet. Op die manier kan een aanvaller dus bijvoorbeeld e-mails verzenden die afkomstig lijken van bijvoorbeeld een kennis, bevriend bedrijf, je bank of je CEO.
Een bekend voorbeeld van een spoofingaanval is phishing, waarbij de aanvaller een overtuigend opgesteld e-mailbericht verstuurd naar zijn slachtoffer. Daarin vraagt hij de ontvanger om iets ogenschijnlijk onschuldigs, maar naar achteraf blijkt kwaadaardigs, te downloaden. Of op een link naar een bepaalde website te klikken. Op die website probeert de aanvaller de ontvanger dan meestal inloggegevens geld of waardevolle informatie te ontfutselen.
Spoofing wordt ook gebruikt voor business email compromise-aanvallen (BEC). De aanvaller stuurt daarbij een valse e-mail naar een organisatiemedewerker. In de mail doet de aanvaller zich bijvoorbeeld voor als de CEO van het bedrijf of een collega en probeert hij zijn slachtoffer ertoe aan te zetten om geld over te maken of vertrouwelijke informatie te delen.
Organisaties kunnen te maken krijgen met externe en interne spoofing. Bij externe spoofing doet de aanvaller zich voor als iemand anders die niet voor de organisatie zelf werkt, bijvoorbeeld de bank of het advocatenkantoor waarmee de organisatie samenwerkt. Bij interne spoofing doet de aanvaller zich voor als iemand van je eigen organisatie, zoals de CEO of de financieel directeur. De termen externe spoofing en interne spoofing zeggen niets over de locatie van waaruit de aanvaller opereert, maar over het e-maildomein in het verzendadres (in het From-veld, dus) dat is gebruikt bij de aanval.
DMARC is een beveiligingsprotocol waarmee elke ontvangende partij automatisch e-mailberichten die namens jou zouden zijn verzonden expliciet kan checken. Dat werkt als volgt:
In je DNS kun je met een zogenaamde policy aangeven welk van deze drie acties de ontvangende mailserver volgens jou moet uitvoeren als e-mail niet door de controle heen komt.
Het bovenstaande werkt alleen als je in je DNS de volledig correcte informatie hebt staan die de ontvangende mailserver nodig heeft om deze checks uit te voeren. Daarbij is het belangrijk om te weten dat DMARC alleen correct werkt als je ook twee andere beveiligingsprotocollen juist hebt toegepast: SPF (punt 1 hierboven) en DKIM (punt 2 hierboven). Zonder DKIM en SPF werkt DMARC niet. En zonder DMARC kunnen DKIM en SPF je niet volledig beschermen tegen spoofing, omdat die twee protocollen niet specifiek het From-veld van e-mailberichten controleren. DMARC doet dat wel.
Praktisch gezien komt het erop neer dat je per domein drie aparte regels met de juiste instellingen in je DNS moet zetten: één voor DMARC, één voor DKIM en één voor SPF. Voor DKIM moet je ook nog een versleuteling toepassen in je mailserver.
Je kunt zelf inkomende e-mailberichten van externe partijen met DMARC checken op spoofing als aan twee voorwaarden is voldaan:
Het eerste heb je zelf in de hand, maar voor het tweede ben je afhankelijk van de andere partij. Als die partij DMARC, DKIM en SPF niet heeft ingesteld, kan e-mail die namens haar domein is verzonden nog niet gecheckt worden op spoofing. Deze e-mail wordt dan ongecontroleerd doorgelaten.
Er zit dus een sociaal aspect aan: als je DMARC, DKIM en SPF instelt, help je andere partijen om zich tegen spoofing door aanvallers met gebruik van jouw domein te beschermen. Daarnaast voorkom je natuurlijk dat misbruik van jouw belangrijke en betrouwbare domein succes heeft.
Als je DMARC instelt in je DNS, help je dus anderen. Dat is mooi, maar doe je dat alleen voor hen of heb je er verder zelf ook wat aan? Jazeker!
Ten eerste voorkom je dus dat misbruik van jouw domein waar dan ook op de wereld succesvol is. Dat beschermt je (domein)reputatie en voorkomt dat je domein onbedoeld op een spam-blacklist terechtkomt. Dat zou je e-mailcommunicatie onmogelijk maken.
Daarnaast beschermt DMARC je eigen organisatie tegen gevaarlijke interne spoofing waarbij de externe aanvaller zich voordoet als iemand van binnen je eigen organisatie.
Bij interne spoofing is jouw organisatie wederom de ontvangende partij. Door spoofing waarbij de aanvaller jouw domeinnaam gebruikt , ben je nu ook de vermeende verzendende partij. Wil je DMARC inzetten om ook deze interne spoofingaanvallen effectief te detecteren, dan moet dus – in lijn met wat we hierboven beschreven – aan de volgende voorwaarden worden voldaan:
De voorgestelde aanpassing zou ongeveer tot herhaling leiden van de zin in de vorige alinea. En die wel heel erg lang maken. Ik heb er daarom dit van gemaakt.
Als aan een van beide voorwaarden niet is voldaan, vinden er geen DMARC-checks plaats en wordt al het e-mailverkeer ongecontroleerd doorgelaten – dus ook van buiten komende spoofing-e-mails van aanvallers met een zogenaamd e-mailadres van binnen jouw domein. Gevaarlijk!
Met DMARC ontlast je bovendien je medewerkers van een lastige verantwoordelijkheid. Zonder technische maatregelen komt de detectie van deze lastige spoofing-e-mails helemaal op hun bordje te liggen. Zij moeten dan aan de hand van de inhoud van een e-mailbericht bepalen of die daadwerkelijk afkomstig is van de vermeende afzender: bestaat deze collega echt? Klopt zijn/haar schrijfstijl? Staat er een ongebruikelijk verzoek in het bericht?
Zeker in grotere organisaties is dat geen eenvoudige opgave. Een voorbeeld: stel dat iemand sinds kort op de administratie werkt en uit het niets op vrijdagmiddag een betrouwbaar overkomende e-mail van de CEO ontvangt. En dat in die e-mail het verzoek staat om vóór het weekend zo snel mogelijk geld over te maken naar een bepaald rekeningnummer.
Hoe weet deze medewerker of het verzoek legitiem is, als hij nooit eerder e-mail van de CEO heeft ontvangen? Durft hij te twijfelen aan het verzoek en de CEO met een belletje te storen? Of nog erger: stel dat de CEO direct na het binnenkomen van de e-mail direct met de medewerker belt om het e-mailbericht te bevestigen.
Misschien komt het verzoek en mogelijke telefoontje wel van een aanvaller die CEO-fraude probeert te plegen en hoort het bankrekeningnummer bij hem. Als de medewerker daar niet op bedacht is en zwicht voor de druk (‘de grote baas wil dat ik nu het geld overmaak!’), kan dat tot flinke financiële schade leiden. Zoals bij de Belgische Crelan Bank die door CEO-fraude maar liefst 70 miljoen euro verloor! Dit soort situaties komt overigens veel vaker voor dan je wellicht voor mogelijk zou houden. Het aantal aanvallen groeit zelfs exponentieel!
DMARCSaaS kan kosteloos een geautoriseerde, begeleide en onschadelijke spooftest voor je uitvoeren. Intern en extern. Al een paar dagen later weet je of je organisatie al is beschermd tegen e-mailspoofing.
En kies je voor de volledig managed SaaS-oplossing van DMARCSaaS, dan wordt de SPF, DKIM en DMARC volledig ingericht en bijgehouden. Daarnaast ontvang je van ons periodiek actuele rapportages van e-mailstromen die niet met succes door jouw DMARC-checks zijn gekomen. Zo krijg je inzicht in spoofingpogingen die namens jouw organisatie zijn gedaan of die gericht zijn tegen jouw organisatie. En kun je daar tegen optreden.
Klaar om e-mailspoofing aan te pakken? Vraag snel de gratis spooftest van DMARCSaaS aan.